各企業の方針に沿ったセキュリティ対策を支援
「Azure Firewall」

前回、プラットフォームの多様化に伴う保護対策の負担削減に向け、脅威をレベル分けして自動検知できるSIEMソリューション「Microsoft Sentinel」を解説した。前回の内容を踏まえ、今後のステップアップとして企業規模を問わず導入可能なネットワークセキュリティソリューション「Azure Firewall」と、ネットワークセキュリティソリューションを導入・更新する際の留意点を再確認しよう。

Azureソリューションとの統合管理

日本マイクロソフト
パートナー事業本部 第一アーキテクト本部
クラウド ソリューション アーキテクト
久保智成 氏

 ネットワークセキュリティにおいて、ファイアウォールはインターネットを通じた不正アクセスやサイバー攻撃などから企業システム内部のネットワークやサーバー、PC、データを守る役割を担う。ネットワークセキュリティソリューションであるAzure Firewallは、クラウドネイティブなファイアウォール機能を利用体系や規模を問わず企業システムに組み込める。日本マイクロソフト パートナー事業本部 第一アーキテクト本部 クラウド ソリューション アーキテクトの久保智成氏は、Azure Firewallを利用するメリットを次のように語る。「Azure Firewallによる保護は、ユーザー企業における単一環境での利用をはじめ、複数の顧客の環境を管理している企業のセキュリティ対策にも対応します。本製品はさまざまなAzureソリューションと統合されており、単なるネットワーク制御にとどまらない保護を実現します。例えば、侵入検知システム『Intrusion Detection System』(IDS)と侵入防止システム『Intrusion Prevention System』(IPS)の機能を搭載し、ネットワーク状況をリアルタイムで監視します。当社がセキュリティベンダーとして検知している悪意のあるドメインやボットネットといった脅威情報にひも付いた高度な制御も行えます。ドメインやURLの種類を分析してブラックリスト化するなど、広範囲に効率的に管理可能です」

 また、Azure Firewallに統合されているAzureソリューションについて、久保氏はこう説明する。「Azure上の仮想マシンやアプリケーションの監視・動作分析ソリューション『Azure Monitor』やSIEMソリューションのMicrosoft Sentinelなどとの連携にも対応しています。Microsoft SentinelはAzure Firewallのコネクターを持っているので、複数環境のセキュリティ情報をMicrosoft Sentinel上でも利用することができます」

 こうした組み合わせにより、企業のネットワークやシステムを24時間365日監視して情報資産を守る「Security Operation Center」(SOC)を容易に構築可能だ。マルチテナントで多数の顧客環境を管理する企業にも、シングルテナントで一つのシステム上でAzure Firewallを使う企業にも対応するAzure Firewallは、多様な企業に有効なソリューションなのだ。

単一&複数環境に合った管理機能

 セキュリティソリューションの運用で注目するべきポイントは、管理する環境の規模だけではない。例えば、企業方針やサービス内で活用する範囲なども企業によって異なるため、いずれの環境においても機能の違いを確認することが重要だ。Azure Firewallでは、単一環境と複数環境とで、具体的にどのような機能の違いがあるのか。

「単一の企業システムの利用に適した機能として、例えばオンプレミスとAzure間のトラフィックの一元管理を行い、単一環境であってもそこでさまざまなIT資産のモニタリングや分析機能を利用可能です。DNSプロキシ(DNSの名前解決要求を代理で応答する機能)としての側面も持つため、単独のシステムによくあるオンプレミスとの接続環境での構成と管理もしやすいです。複数環境の管理に向けて、マルチテナント、マルチサブスクリプション、マルチユーザーの環境をカバーする機能も有しています。例えば、Azureのセキュリティ管理サービス『Microsoft Defender for Cloud』にAzure Firewallの機能が統合されている点が挙げられます。Microsoft Defender for CloudでAzure Firewall含めて環境全体のセキュリティポスチャの管理を管理者が行うことができるため、複数環境を管理する企業にも最適です。セキュリティに関する情報を担うMicrosoft Defender for Cloud上でAzure Firewallも含んだステータスやアラートをいち早く認識でき、必要に応じて自動対応できる状態を作ることができます。Azure Firewall機能単体としてのモニタリングには、『Azure Monitor Workbook for Azure Firewall』があり、シングル環境にもマルチテナント環境にも力を発揮します」

企業方針を基に保護対策を

 セキュリティ管理では、システムの煩雑さによってセキュリティ管理者のインシデント対処が遅れるリスクもある。IT資産を管理するアセット管理を行う際には、管理画面を一見して状況が可視化されることが重要だ。UIの奇麗さはソリューション問わず求められるが、Azure Firewallでは特にインベントリの可視性に優れた設計で、管理者がIT資産の状況を把握しやすい点が強みだ。また、Azure Firewallでアップデートされた機能について、久保氏は次のように説明する。「Azure Firewallを管理するAzure Firewall Managerの機能を強化しています。例えば、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護する『Web Application Firewall』(WAF)機能や、インターネット上の多数の機器から特定のネットワークやコンピューターに一斉に接続要求を送信し、過剰な負荷をかけて機能不全に追い込む『Distributed Denial of Service』(DDoS攻撃)の保護機能もまとめて管理することができます」

 Azure Firewallの提案にあたって、久保氏は「当社としては、セキュリティ文脈での提案にAzure Firewallのみをお話しすることはそれほどありません」と前置きした上で、その理由と提案時の留意点をこう話す。「理由として、単体のセキュリティ機能に注目して提案すると、『このセキュリティ機能さえ入れれば大丈夫だろう』という認識で導入されるユーザー企業のシステムが、その後その機能とは異なるスコープでセキュリティインシデントに遭うケースがあるためです。こうした状況を予測して、ビジネスリスクに応じて守るべきものを定義した上で対応策となる仕組みを導入するか、あるいは既存のコンプライアンス基準に沿って機能を網羅的に導入するかのいずれかが入りやすいでしょう」

 Azure Firewallは、いずれの形態にも対応するが、企業のセキュリティ対策においては検討事項を詰めて考えることも啓蒙しなくてはならない。企業の方針に沿って策定されたセキュリティポリシーがあってこそ、Azure Firewallをはじめとしたセキュリティソリューションが生きてくるのだ。